主动安全能否打破反病毒瓶颈?

“基于传统原理的杀毒软件每天都要升级特征码，这个受不了――现在不是不升级，而是升级了实际上也没有多少用。”在近日举行的“病毒防范现状与国际病毒防御技术最新发展趋势”高端研讨会上，来自中办秘书局一位负责信息系统的处长说。

“我们受病毒侵害很深。互联网（信息安全）问题严重性越来越大，发现的问题都不是小事”。国务院办公厅电子政务办公室的刘慈副处长也深有感受。

同样忧心忡忡的还有财政部信息网络中心运营维护处的赵晓光处长，以及国家保密局攻防实验室的相关负责人。这样的担忧已经很普遍，基本达成共识。

他们都是信息安全技术的“关键”用户。

对于个人用户，受病毒损害的例子更是每天都在发生。

趋利性病毒

危及信息化建设

“凡是能够换成钱的东西都成为黑客攻击的目标。”东方微点总经理刘旭对记者表示，病毒的趋利性正在变得日益明显。以趋利性为显著特征的病毒攻击，已经完全颠覆了传统意义上的病毒攻击。“趋利的不同表现形式，有窃取个人隐私、窃取账号密码、窃取商业机密、窃取网络财产，还有一些是被控制的计算机属于僵尸网络，进行网络敲诈。”

记者从网上看到的现象是，在网上成批叫卖的“肉鸡”（受远程控制的电脑），少则1000只，多则数万只。国家计算机网络应急技术处理协调中心统计显示，2007年监测到中国内地有90万个IP地址主机被植入木马，比2006年增加21倍。另外，2007年的抽样监测发现，内地有360万个IP地址主机被植入了僵尸程序，2007年各种僵尸网络被用来发动拒绝服务攻击一万多次，发送垃圾邮件110多次，实施信息窃取操作3900多次。调查发现，黑客如果利用僵尸网络对某一个特定的目标实施拒绝服务攻击的话，破坏力将会更强，互联网数据中心IDC机房就很容易遭遇类似的攻击。目前，我国监测到最大规模的僵尸网络达到了129万个僵尸节点。

这种病毒趋利化的趋势，不仅危及到了个人用户的利益，更对国家信息安全和信息化造成了威胁。电子政务专家陈佛晓指出，一年多以来，在我国政府遇到的泄密事件里面，有相当多是由于木马盗窃泄露出去的。陈佛晓表示，出于对泄密的担忧，一些新的应用程度开发不得不被迫停止，“这产生的结果，就是严重影响了国家的信息化。”

杀毒软件滞后性

再遭质疑

在木马病毒的猖獗面前，杀毒软件的滞后性被暴露无遗。

“反病毒软件非常容易被攻破。”得出这一结论的是来自美国SonomaState大学的教授GeorgeLedin，他带领自己的学生们模拟“黑客”进攻，这一切都是在学校内部的封闭网络上进行的，以防止危害互联网，实验结果是，绝大多数杀毒软件是没有什么用的。

根据瑞星公司今年的研究报告，黑客利用“加壳”等手段，产业化、自动化地生产病毒已成为趋势，这使得病毒数量暴增，一个熟练的病毒工程师每天可以分析40到50个样本，但目前每天出现在网上的病毒样本平均是3000到4000个。这样的生产速度，几乎已经达到了厂商捕获和分析能力的极限。

今年年初，国内三大杀毒软件厂商――江民、金山、瑞星都先后推出2007年年度安全报告，在2007年病毒趋势和各自认定的“毒王”及十大病毒的同时，它们一致性地对杀毒软件的缺陷进行了深入思考，几乎无一例外地自曝: 传统杀毒软件技术难以防范新病毒。

“现有的杀毒技术是相当有限的。”刘旭表示，杀毒软件的核心是反病毒公司从病毒体中提取一串或多串代码作为识别病毒的特征码。但由于病毒的收集主要依靠用户，“反病毒公司的防病毒网络实际上是虚的，用户给你报，你就有，不给你报，就没有。”

“所有的杀毒软件都是跟着病毒跑，滞后于病毒。”在中国工程院院士倪光南看来，反病毒产业发展到当前，固有的杀毒软件特征值扫描技术，即病毒出现――用户提交――厂商人工分析――软件升级的传统思路已经不能满足需要了。“跟着病毒跑的话，特征库也会越来越大，将来扫描起来可能需要很长时间，所以我觉得这种模式需要创新。”倪光南说。

反病毒思路新探索

随着“杀毒软件将死”的论断被普遍认可，全球信息安全厂商也纷纷开始“主动防御”的探索，但迄今为止，国际上没有纯粹的主动防御产品，很多杀毒软件里的“主动防御”功能频繁误报使得用户反馈不好，甚至对主动防御产生误解。这让杀毒软件厂商只能把“主动防御”作为缺省“不使用”。

“目前国内外杀毒软件提供的所谓主动防御功能，实际上还只是处于主动防御的初级阶段”，刘旭说，“举一个很常见的例子，在使用某款号称具有智能主动防御功能的产品时，经常会遇到‘有程序正在向您的计算机设置全局挂钩，是否允许’之类的提示。什么叫全局挂钩？一般用户可能不理解，也就无从选择。用户使用杀毒软件，就是将杀毒防毒的工作交给软件，现在反而要自己进行判断，这是不合理，更是不负责任的。现在的杀毒软件越来越像‘高手’专用的，表面上是易用性不足，实际上是这些产品还没有真正成熟的主动防御技术。”

而随着云计算的兴起，趋势科技和瑞星等厂商也把“云安全”概念推向了前台，推出各自的“云安全”计划。云安全的技术思路，是将用户的电脑终端和安全厂商的技术平台，通过互联网紧密相连，组成一个庞大的木马、恶意软件监测、病毒查杀网络，每个用户既是云安全技术的贡献者，也是享用者。

但在刘旭看来，云安全技术还仅仅停留在概念阶段。“它仍然没有回答如何自动识别新病毒这个核心问题。”刘旭表示，云安全技术从用户计算机收集文件的做法，容易让用户产生不安全感，而反病毒公司如何处理收集到的这些海量文件，又是另一个问题。“如果采用人工处理，往往难以及时处理病毒，这就失去了应有的效果; 而如果采用自动处理，即在云端能够自动识别病毒，那么为什么不将这种自动识别病毒的功能直接放在用户计算机里面，而是放在云端呢？”

“我们认为，主动防御技术是解决目前病毒危害比较理想的反病毒技术。”刘旭进一步称，东方微点的主动防御软件，采用了“程序行为自主分析判断”技术，模拟反病毒专家及其病毒判定机制，以“动态仿真反病毒专家系统，自动准确判定新病毒、程序行为监控并举、自动提取特征值实现多重防护、可视化显示监控信息”等五项核心技术，实现对新病毒提前防御的目的。根据微点公司对近百万种病毒的测试表明，微点主动防御软件能够有效防范99%以上的未知病毒。

即便如此，主动防御技术也并不是被动防御技术的颠覆者。“主动防御的实现并不是要越过被动防御，完全它，而是要在其基础之上实现。”刚刚被McAfee以 4.65亿美元收购的Secure Computing公司大中国区总经理蔡勇认为，“主动防御”并不能100%地发现病毒或者攻击，它的成功率大概在60%～80%之间。而如果再加上传统的“特征码技术”，则有可能发现100%的恶意程序与攻击行为。

“主动防御”+“特征码技术”也成为了目前安全系统的主流发展趋势。对此蔡勇给出的建议是，中国用户的主动防御技术产品采购，不要放弃原有的设置。“在中国，主动防御的部署要一步一步去做; 要确保购买的每一部设备都具有适度的无懈可击的安全性，从而保证整个框架主动安全防护的有效性。”蔡勇说。